NORMAS ISO

FORMACION PROFESIONAL
Comentarios

Marcos Normativos Internacionales

Normas ISO en la Era Digital
protección de datos · ciberseguridad
inteligencia artificial · información

Catálogo de las normas ISO/IEC más relevantes para la gestión de la seguridad, la privacidad, los sistemas de inteligencia artificial y el gobierno de la información, con explicación concisa y enlaces oficiales.Familias Normativas

  1. Gestión de la Seguridad de la Información — Familia 27000
  2. Ciberseguridad y Continuidad
  3. Protección de Datos y Privacidad
  4. Inteligencia Artificial
  5. Gestión de Información y Gobierno TI

— Parte I —

Gestión de la Seguridad de la Información

La familia ISO/IEC 27000ISO/IEC 27000Vocabulario y panorama general

Define la terminología común usada en toda la familia 27000. Documento de referencia para alinear conceptos entre estándares.www.iso.org/standard/73906.htmlISO/IEC 27001:2022Sistema de Gestión de Seguridad de la Información (SGSI)

La norma central y certificable. Establece los requisitos para implementar, mantener y mejorar un SGSI en organizaciones de cualquier tamaño y sector.www.iso.org/standard/27001ISO/IEC 27002:2022Controles de seguridad de la información

Catálogo de 93 controles agrupados en cuatro temas: organizacionales, personas, físicos y tecnológicos. Guía operativa del Anexo A de la 27001.www.iso.org/standard/75652.htmlISO/IEC 27003Guía de implementación del SGSI

Aclara cómo aplicar los requisitos de la 27001 paso a paso. Material de soporte para quienes despliegan el sistema por primera vez.www.iso.org/standard/63417.htmlISO/IEC 27004Monitoreo, medición y evaluación

Define cómo medir el desempeño y la eficacia del SGSI mediante métricas e indicadores objetivos.www.iso.org/standard/64120.htmlISO/IEC 27005:2022Gestión de riesgos de seguridad de la información

Metodología completa compatible con ISO 31000 para identificar, analizar, evaluar y tratar riesgos de seguridad.www.iso.org/standard/80585.htmlISO/IEC 27007Directrices para auditar un SGSI

Marco para auditorías internas y externas, alineado con la ISO 19011.www.iso.org/standard/77802.html— Parte II —

Ciberseguridad y Continuidad

Respuesta a incidentes, redes, forense digitalISO/IEC 27031Preparación de las TIC para la continuidad del negocio

Conecta la seguridad de la información con la continuidad operativa. Complementa la ISO 22301.www.iso.org/standard/44374.htmlISO/IEC 27032:2023Directrices para la ciberseguridad de Internet

Cubre la protección frente a amenazas en el ciberespacio: malware, phishing, ingeniería social y colaboración entre partes interesadas.www.iso.org/standard/76070.htmlISO/IEC 27033Seguridad de redes (serie multi-parte)

Cubre arquitectura de red, gateways de seguridad, VPN, redes inalámbricas y comunicaciones IP en seis partes.www.iso.org/standard/63461.htmlISO/IEC 27035 — Partes 1 a 4Gestión de incidentes de seguridad

Principios, planificación, operaciones de respuesta y coordinación frente a incidentes de seguridad de la información.www.iso.org/standard/78973.htmlISO/IEC 27036 — Partes 1 a 4Seguridad en relaciones con proveedores

Marco para gestionar riesgos de la cadena de suministro ICT y la externalización de servicios.www.iso.org/standard/59648.htmlISO/IEC 27037Evidencia digital — informática forense

Identificación, recolección, adquisición y preservación de evidencia digital con validez probatoria.www.iso.org/standard/44381.htmlISO/IEC 27040:2024Seguridad del almacenamiento de datos

Controles específicos para infraestructuras de almacenamiento: SAN, NAS, cintas, cifrado y borrado seguro.www.iso.org/standard/80194.htmlISO 22301Gestión de continuidad del negocio

Norma certificable hermana de la 27001 para resiliencia organizacional ante interrupciones críticas.www.iso.org/standard/75106.html— Parte III —

Protección de Datos y Privacidad

PIMS, nube, evaluación de impacto, GDPR-compatiblesISO/IEC 27701:2025Sistema de Gestión de Información de Privacidad (PIMS)

En su segunda edición pasó a ser una norma autónoma, ya no es una extensión de la 27001. Alineada con GDPR, CCPA y LGPD; guía específica para responsables y encargados del tratamiento.www.iso.org/standard/85819.htmlISO/IEC 27017:2015Controles de seguridad para servicios en la nube

Extensión de la 27002 con controles específicos para proveedores y clientes de cloud computing.www.iso.org/standard/43757.htmlISO/IEC 27018:2019Protección de PII en nubes públicas

Estándar de referencia para Google Cloud, AWS y Azure cuando actúan como encargados del tratamiento de datos personales.www.iso.org/standard/76559.htmlISO/IEC 29100:2024Marco de privacidad

Define los principios fundamentales: consentimiento, finalidad, minimización, exactitud, transparencia, responsabilidad y limitación.www.iso.org/standard/85938.htmlISO/IEC 29134:2023Evaluación de Impacto a la Privacidad (PIA / EIPD)

Metodología equivalente al DPIA exigido por el GDPR; analiza riesgos para los derechos y libertades de los titulares.www.iso.org/standard/86012.htmlISO/IEC 29151:2017Código de prácticas para la protección de PII

Complementa los controles de la 27002 con guía específica para el tratamiento responsable de información personal.www.iso.org/standard/62726.htmlISO/IEC 27555:2021Directrices para la eliminación de datos personales

Marco para gestionar el borrado seguro de datos personales en cumplimiento del derecho de supresión.www.iso.org/standard/71673.htmlISO/IEC 27556:2022Preferencias centradas en el usuario para datos personales

Marco para gestionar las preferencias del titular en el manejo de su información personal.www.iso.org/standard/71674.html— Parte IV —

Inteligencia Artificial

Gestión, riesgos, gobernanza y confiabilidad de la IAISO/IEC 22989:2022Conceptos y terminología de IA

La base vocabular sobre la que se construyen todas las demás normas de IA. Define qué es un sistema de IA, modelo, sesgo, dato de entrenamiento, supervisión humana, etc.www.iso.org/standard/74296.htmlISO/IEC 23053:2022Marco para sistemas de IA con aprendizaje automático

Describe componentes, ciclo de vida y relaciones de los sistemas de IA basados en ML. Promueve la interoperabilidad.www.iso.org/standard/74438.htmlISO/IEC 23894:2023Gestión de riesgos en IA

Guía operativa para integrar la gestión de riesgos específicos de IA con la ISO 31000 dentro del gobierno organizacional.www.iso.org/standard/77304.htmlISO/IEC 42001:2023Sistema de Gestión de IA (AIMS)

La primera norma certificable del mundo para gestión de IA. Especifica requisitos para desarrollar, proveer y usar sistemas de IA de forma responsable: gobernanza, transparencia, sesgos, supervisión humana y mejora continua.www.iso.org/standard/42001ISO/IEC 42005:2025Evaluación de impacto de sistemas de IA

Equivalente a la PIA pero para sistemas de IA: analiza efectos en personas, sociedad y medio ambiente derivados del despliegue de IA.www.iso.org/standard/44545.htmlISO/IEC 42006:2025Requisitos para organismos de auditoría y certificación de AIMS

Define los criterios que deben cumplir las entidades acreditadas para auditar y certificar bajo la ISO/IEC 42001.www.iso.org/standard/44546.htmlISO/IEC TR 24028:2020Confiabilidad (trustworthiness) en IA

Visión general de los atributos de confiabilidad: transparencia, explicabilidad, robustez, controlabilidad y mitigación de sesgos.www.iso.org/standard/77608.htmlISO/IEC TR 24027:2021Sesgos en sistemas de IA

Identificación y tratamiento de sesgos en sistemas de IA y en la toma de decisiones asistida por IA.www.iso.org/standard/77607.htmlISO/IEC TR 24029 — Partes 1 y 2Robustez de redes neuronales

Métodos para evaluar y mejorar la robustez de redes neuronales frente a perturbaciones, ataques adversariales y casos extremos.www.iso.org/standard/77609.htmlISO/IEC 5338:2023Procesos del ciclo de vida de sistemas de IA

Alineada con ISO/IEC 12207 (software) e ISO/IEC 15288 (sistemas). Cubre todo el ciclo de vida del sistema de IA desde la concepción hasta el retiro.www.iso.org/standard/81118.htmlISO/IEC 38507:2022Implicaciones de gobernanza del uso de IA

Pensada para juntas directivas y alta dirección. Aborda las implicaciones de gobierno corporativo del uso de IA en la organización.www.iso.org/standard/56641.html— Parte V —

Gestión de Información y Gobierno TI

Normas complementarias para una arquitectura integralISO/IEC 20000-1:2018Sistema de gestión de servicios de TI

Norma certificable derivada de las prácticas ITIL. Especifica los requisitos para un sistema integral de gestión de servicios TI.www.iso.org/standard/70636.htmlISO/IEC 38500:2024Gobernanza de TI

Principios y modelos para que la alta dirección dirija, evalúe y supervise el uso de la tecnología en la organización.www.iso.org/standard/81684.htmlISO 30301:2019Sistemas de gestión de documentos y registros

Records management. Asegura la creación, captura y mantenimiento de evidencia confiable de actividades y transacciones.www.iso.org/standard/74293.htmlISO/IEC 25012:2008Modelo de calidad del dato

Define quince características de calidad del dato (exactitud, completitud, consistencia, credibilidad, etc.). Base para gobernanza de datos en IA y privacidad.www.iso.org/standard/35736.htmlISO/IEC 25024:2015Medición de la calidad del dato

Métricas y procedimientos para medir las características definidas por la ISO/IEC 25012.www.iso.org/standard/35749.html

Cómo se interconectan

Las cinco familias no son compartimentos estancos. La ISO/IEC 27001 es la columna vertebral de la seguridad organizacional; la 27701 se acopla para añadir privacidad; la 42001 replica la misma lógica de sistema de gestión aplicada a la inteligencia artificial; las normas 27017 y 27018 especializan los controles para entornos cloud; y las normas 29134 y 42005 son las herramientas de evaluación de impacto en privacidad e IA respectivamente. Una organización madura suele integrar 27001 + 27701 + 42001 bajo una misma estructura (Anexo SL), optimizando auditorías y aprovechando la documentación común.· · ·

Las versiones y fechas de publicación pueden actualizarse. Verifique siempre la edición vigente en el catálogo oficial de ISO antes de citarla.

Actualizado: 19 mayo, 2026 — 3:17 pm

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *